Cisco MDS 9000 ファミリー コンフィギュレーション ガイド Release 2.x
SNMPの設定
SNMPの設定
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

SNMPの設定

SNMPセキュリティ

SNMPv1およびSNMPv2c

SNMPv3

SNMPv3 CLIのユーザ管理およびAAAの統合

CLIおよびSNMPのユーザ同期

スイッチ アクセスの制限

グループベースのSNMPアクセス

コモン ロールの設定

ユーザの作成および変更

CLIによるSNMPユーザの設定

SNMPv3ユーザに対する複数の役割の割り当て

AES暗号化ベースのプライバシ

コミュニティの追加または削除

SNMPスイッチ コンタクト情報の割り当て

SNMP通知(トラップとインフォーム)の設定

SNMP通知のイネーブル化

SNMPセキュリティ情報の表示

デフォルト設定値

SNMPの設定

Cisco MDS SAN-OS Release 1.2以降、CLIおよびSNMPはCisco MDS 9000ファミリーのすべてのスイッチで、共通の役割を使用しています。CLIを使用して作成した役割は、SNMPで変更することができ、その逆も可能です。

Cisco MDS SAN-OS Release 2.0(1b)以降、CLIとSNMPのユーザ、パスワード、および役割はすべて共通化されています。CLIを使用して設定されたユーザは、SNMPを使用してスイッチにアクセスできます(たとえば、Fabric ManagerやDevice Manager)。また、SNMPを使用して設定されたユーザは、CLIを使用してスイッチにアクセスできます。

この章の内容は、次のとおりです。

「SNMPセキュリティ」

「SNMPv3 CLIのユーザ管理およびAAAの統合」

「スイッチ アクセスの制限」

「グループベースのSNMPアクセス」

「コモン ロールの設定」

「ユーザの作成および変更」

「SNMPv3ユーザに対する複数の役割の割り当て」

「AES暗号化ベースのプライバシ」

「コミュニティの追加または削除」

「SNMPスイッチ コンタクト情報の割り当て」

「SNMP通知(トラップとインフォーム)の設定」

「SNMPセキュリティ情報の表示」

「デフォルト設定値」

SNMPセキュリティ

SNMPは、ネットワーク デバイス間で管理情報を簡単に交換できるアプリケーション レイヤ プロトコルです。Cisco MDS 9000ファミリーの全スイッチで、SNMPv1、SNMPv2c、およびSNMPv3の3つのSNMPバージョンを使用できます(図 22-1を参照)。

図 22-1 SNMPセキュリティ

 

SNMPv1およびSNMPv2c

SNMPv1およびSNMPv2cは、コミュニティ ストリングを使用してユーザ認証を実行します。コミュニティ ストリングは、SNMPの初期のバージョンで使用された不十分な形式のアクセス制御方式です。SNMPv3は、強力な認証を使用することによってアクセス制御を大幅に改善しています。したがって、SNMPv3がサポートされている場合は、SNMPv1およびSNMPv2cに優先して使用してください。

SNMPv3

SNMPv3は、ネットワーク管理のための相互運用可能な規格ベースのプロトコルです。ネットワーク上でのフレームの認証および暗号化を組み合わせることによって、デバイスへの安全なアクセスを提供します。SNMPv3で提供されるセキュリティ機能は、次のとおりです。

メッセージの完全性 ― パケットが伝送中に改ざんされていないことを保証します。

認証 ― 有効な送信元からのメッセージであるかどうかを判別します。

暗号化 ― パケット内容をスクランブルし、不当に読み取られないようにします。

SNMPv3は、セキュリティ モデルとセキュリティ レベルの両方を提供します。セキュリティ モデルは、ユーザおよびユーザが所属する役割に対して設定する認証ストラテジーです。セキュリティ レベルは、セキュリティ モデルの中で許容されるセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせによって、SNMPパケットの取り扱いに適用されるセキュリティ メカニズムが決まります。

SNMPv3 CLIのユーザ管理およびAAAの統合

Cisco SAN-OSソフトウェアはRFC 3414とRFC 3415を実装しています。これには、User-based Security Model(USM;ユーザベース セキュリティ モデル)と役割ベースのアクセス制御が含まれています。SNMPとCLIの役割管理は共通化されており、同じ証明書とアクセス権限を共有しますが、以前のリリースではローカル ユーザ データベースは同期化されませんでした。

Cisco SAN-OS Release 2.0(1b)以降は、SNMPv3ユーザ管理をAAAサーバ レベルで一元化できます。ユーザ管理を一元化すると、Cisco MDSスイッチ上で稼働するSNMPエージェントにAAAサーバのユーザ認証サービスを利用させることができます。ユーザ認証が確認されると、SNMP PDUは次の段階へと処理されます。また、AAAサーバにはユーザ グループ名も格納されます。SNMPはグループ名を使用して、スイッチでローカルに使用できるアクセス/役割ポリシーを適用します。

CLIおよびSNMPのユーザ同期

ユーザ グループ、役割、またはパスワードの設定が変更されると、SNMPとAAAの両方のデータベースが同期化されます。

SNMPまたはCLIユーザを作成するには、 username コマンドまたは snmp-server user コマンドを使用します。

snmp-server user コマンドで指定された auth パスフレーズは、CLIユーザのパスワードと同期化されます。

username コマンドで指定されたパスワードは、SNMPユーザの auth および priv パスフレーズと同期化されます。

ユーザの同期化は、次のように処理されます。

いずれかのコマンドを使用してユーザを削除すると、SNMPとCLIの両方の該当ユーザが削除されます。

ユーザと役割の対応関係は、SNMPとCLIで同期化されます。


) パスフレーズ/パスワードをローカライズド キー/暗号化形式で指定すると、パスワードは同期化されません。


既存のSNMPユーザは、 auth および priv 情報を現状どおり継続して使用します。

ユーザが一方のデータベースだけに存在する場合、CLIユーザはパスワードなしで作成され(ログインは無効)、SNMPユーザはnoAuthNoPrivセキュリティ レベルで作成されます。その後、これらのユーザのパスワードと役割は同期化されます。

管理ステーションがusmUserTable内にSNMPユーザを作成する場合、このユーザはパスワードなし(ログインは無効)で作成され、network-operatorの役割が付与されます。

スイッチ アクセスの制限

IP Access Control List(IP-ACL;IPアクセス制御リスト)を使用して、Cisco MDS 9000ファミリー スイッチへのアクセスを制限できます。「IP-ACL」を参照してください。

グループベースのSNMPアクセス


グループは業界全体で使用されている標準的なSNMP用語なので、SNMPに関するこの項では、「役割」のことを「グループ」で表します。


SNMPアクセス権限は、グループ単位で編成します。SNMPの各グループは、CLIにおける役割と類似しています。各グループは、次の3つのアクセスで定義されます。すなわち、読み取りアクセス、書き込みアクセス、および通知アクセスです。それぞれのアクセスを、各グループでイネーブルまたはディセーブルに設定できます。

ユーザ名が作成され、ユーザの役割が管理者によって設定され、ユーザがその役割に追加されていれば、そのユーザはエージェントとの通信を開始できます。

コモン ロールの設定

Cisco MDS SAN-OS Release 1.2以降、Cisco MDS 9000ファミリーの全スイッチのCLIおよびSNMPで、コモン ロール(共通の役割)が使用されています。CLIを使用して作成した役割を、SNMPで変更することができ、その逆も可能です(図 22-2を参照)。

図 22-2 コモン ロール

 

SNMPにおけるそれぞれの役割は、CLIで作成または変更した役割と同じです( 役割ベースの許可を参照)。

必要に応じて、それぞれの役割を1つまたは複数のVSANに限定することができます。

新しい役割の作成、または既存の役割の変更は、SNMPまたはCLIのどちらでも実行できます。

SNMP ― 役割を設定または変更するには、CISCO-COMMON-ROLES-MIBを使用します。『 Cisco MDS 9000 Family MIB Quick Reference 』を参照してください。

CLI ― role name コマンドを使用します。

ユーザの作成および変更

SNMPまたはCLIを使用して、ユーザの作成、または既存のユーザの変更を実行できます。

SNMP ― スイッチ上のusmUserTableに存在するユーザのクローンとして、新規のユーザを作成します。ユーザを作成した後、クローンの秘密鍵を変更してから、そのユーザをアクティブにします。RFC 2574を参照してください。

CLI ― snmp-server user コマンドを使用して、ユーザの作成または既存のユーザの変更を実行します。

Cisco MDS 9000ファミリー スイッチ上でデフォルトで使用できる役割は、network-operatorおよびnetwork-adminの2つだけです。そのほかに、Common Rolesデータベースに設定されている役割も使用できます(コモン ロールの設定を参照)。


ヒント Cisco MDS SAN-OS Release 2.0(1b)以降、CLIセキュリティ データベースおよびSNMPユーザ データベースに対する更新はすべて同期化されます。Release 2.0(1b)にアップグレードすると、SNMPパスワードを使用してFabric ManagerまたはDevice Managerのどちらかにログインできます。ただし、CLIパスワードを使用してFabric ManagerまたはDevice Managerにログインした場合、その後のログインには必ずCLIパスワードを使用する必要があります。Release 2.0(1b)にアップグレードする前からSNMPデータベースとCLIデータベースの両方に存在しているユーザの場合、Release 2.0(1b)にアップグレードすると、そのユーザに割り当てられた役割は結合されます。


CLIによるSNMPユーザの設定

Release 2.0(1b)以降、 snmp-server user コマンドおよび username コマンドで指定されるパスフレーズは同期化されます(SNMPv3 CLIのユーザ管理およびAAAの統合を参照)。

CLIを使用してSNMPユーザを作成または変更する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# snmp-server user joe network-admin auth sha abcd1234

ユーザ(joe)が、network-adminの役割でHMAC-SHA-96認証パスワード(abcd1234)を使用するように設定または変更します。

switch(config)# snmp-server user sam network-admin auth md5 abcdefgh

ユーザ(sam)が、network-adminの役割でHMAC-MD5-96認証パスワード(abcdefgh)を使用するように設定または変更します。

switch(config)# snmp-server user Bill network-admin auth sha abcd1234 priv abcdefgh

ユーザ(network-admin)が、network-adminの役割でHMAC-SHA-96認証レベルおよびプライバシ暗号化パラメータを使用するように設定または変更します。

switch(config)# no snmp-server user usernameA

ユーザ(usernameA)およびすべての関連パラメータを削除します。

switch(config)# no snmp-server usam role vsan-admin

指定したユーザ(usam)を役割vsan-adminから削除します。

 

switch(config)# snmp-server user user1 network-admin auth md5 0xab0211gh priv 0x45abf342 localizedkey

キーワードをローカライズド キー フォーマットで指定します(RFC 2574を参照)。ローカライズド キーは16進表記(たとえば、0xacbdef)で指定します。

 

switch(config)# snmp-server user user2 auth md5 asdgfsadf priv aes-128 asgfsgkhkj

MD5認証プロトコルおよびAES-128プライバシ プロトコルを使用してuser2を設定します。

ステップ 3

switch(config)# snmp-server user joe sangroup

指定したユーザ(joe)を役割sangroupに追加します。

switch(config)# snmp-server user joe techdocs

指定したユーザ(joe)を役割techdocsに追加します。


注意 CLIを使用してSNMPユーザを設定する場合は、localizedkeyオプションは使用しないでください。ローカライズド キーにはデバイス エンジンID情報が含まれるので、デバイス間で移植可能ではありません。コンフィギュレーション ファイルをデバイスにコピーする場合、そのコンフィギュレーション ファイルが別のデバイスで生成されたものであれば、パスワードが正しく設定されない可能性があります。コンフィギュレーションをデバイスにコピーしたあとで、希望するパスワードを明示的に設定してください。localizedkey オプションで指定されるパスワードは、最大130文字です。

SNMPv3ユーザに対する複数の役割の割り当て

Cisco SAN-OS Release 2.0(1b)以降、SNMPサーバのユーザ設定が強化され、SNMPv3ユーザに複数の役割(グループ)を割り当てることが可能になっています。最初にSNMPv3ユーザを作成したあとで、そのユーザに役割を追加できます。


) 他のユーザに役割を割り当てることができるのは、役割network-adminに属するユーザだけです。


CLIを使用してSNMPv3ユーザに複数の役割を設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# snmp-server user NewUser role1

役割role1のSNMPv3ユーザ(NewUser)の設定を作成または変更します。

switch(config)# snmp-server user NewUser role2

役割role2のSNMPv3ユーザ(NewUser)の設定を作成または変更します。

switch(config)# no snmp-server user User5 role2

指定されたユーザ(User5)からrole2を削除します。

AES暗号化ベースのプライバシ

Advanced Encryption Standard(AES)は対称暗号アルゴリズムです。Cisco SAN-OSソフトウェアは、SNMPメッセージ暗号化用のプライバシ プロトコルの1つとしてAESを使用し、RFC3826に準拠しています。

Cisco SAN-OS Release 2.0(1b)以降、 priv オプションでSNMPセキュリティ暗号化方式として、DESまたは128ビットAESを選択できます。 priv オプションを aes-128 トークンと併用すると、プライバシ パスワードは128ビットAESキーの生成に使用されます。AESのプライバシ パスワードは最小で8文字です。パスフレーズをクリアテキストで指定する場合、最大64文字を指定できます。ローカライズド キーを使用する場合は、最大130文字を指定できます。


) 外部のAAAサーバを使用してSNMPv3を使う場合、外部AAAサーバのユーザ設定でプライバシ プロトコルにAESを指定して、SNMP PDUを暗号化する必要があります。


CLIを使用してSNMPユーザを作成または変更する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# snmp-server user user1 role1 auth md5 0xab0211gh priv des 0x45abf342 localizedkey

セキュリティ暗号方式にDESを使用して、パスワードをローカライズド キー フォーマットで指定します。

switch(config)# snmp-server user user1 role2 auth sha 0xab0211gh priv aes-128 0x45abf342 localizedkey

セキュリティ暗号方式に128ビットAESを使用して、パスワードをローカライズド キー フォーマットで指定します。

コミュニティの追加または削除

SNMPv1およびSNMPv2のユーザの場合は、読み取り専用または読み取り/書き込みアクセスを設定できます。RFC 2576を参照してください。

SNMPv1またはSNMPv2cコミュニティを作成する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# snmp-server community snmp_Community ro

指定したSNMPコミュニティに読み取り専用アクセスを追加します。

switch(config)# snmp-server community snmp_Community rw

指定したSNMPコミュニティに読み取り/書き込みアクセスを追加します。

switch(config)# no snmp-server community snmp_Community

指定したSNMPコミュニティのアクセスを削除します(デフォルト)。

SNMPスイッチ コンタクト情報の割り当て

スイッチのコンタクト情報は32文字以内(スペースを除く)で指定してください。

snmp-server コマンドを使用して、コンタクト情報とスイッチ ロケーションを設定します。このコマンドの no 形式を使用すると、システム コンタクト情報を削除できます。

コンタクト情報を設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# snmp-server contact NewUser

スイッチのコンタクト名を割り当てます。

switch(config)# no snmp-server contact NewUser

スイッチのコンタクト名を削除します。

ステップ 3

switch(config)# snmp-server location SanJose

スイッチ ロケーションを割り当てます。

switch(config)# no snmp-server location SanJose

スイッチ ロケーションを削除します。

SNMP通知(トラップとインフォーム)の設定

特定のイベントが発生したときに、CLIでCisco MDSスイッチを設定して、SNMPマネージャに通知を送信することができます。これらの通知は、トラップまたはインフォームとして送信できます。トラップを受信しても受信側は確認応答を送信しないため、トラップは信頼性に欠けます。送信側は、トラップが受信されたかどうかを判別できません。ただし、SNMPマネージャがインフォームを受信すると、SNMP応答PDUを使用してメッセージに確認応答します。送信側が応答を受信しない場合、通常、インフォームは再送信されます。したがって、インフォームの方が目的の宛先に到達する可能性は高くなります。


) 通知(トラップまたはインフォーム)を送信する宛先の詳細情報を入手するには、
SNMP-TARGET-MIBを使用します。詳細については、『Cisco MDS 9000 Family MIB Quick Reference 』を参照してください。



ヒント snmp-server host ip-address informsコマンドでは、SNMPのversion 1オプションは使用できません。


通知を設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# snmp-server host 171.71.187.101 traps version 2c private udp-port 1163

プライベート ポート番号1163でSNMP version 2cのトラップ通知を受信するように指定ホストを設定します。

switch(config)# no snmp-server host 172.18.2.247 informs version 3 public udp-port 2162

プライベート ポート番号2162でSNMP version 3のインフォーム通知を受信しないように指定ホストを設定します。

switch(config)# snmp-server host 10.1.1.1 fsdf

デフォルトUDPポート(162)でデフォルトの noauth オプションを使用して、SNMPのインフォーム通知を受信するように指定ホストを設定します。

SNMP通知のイネーブル化

通知(トラップおよびインフォーム)は、特定のイベントが発生したときにスイッチによって生成されるシステム アラートです。デフォルトでは、通知は1つも定義されておらず、通知が生成されることはありません。通知名を指定しないと、通知はすべて無効または有効になります。

表 22-1 は、デフォルトで無効になるトラップ通知です。これには、 entity fru vrrp license (記載されていないトラップ通知)、およびその他の汎用トラップ通知( coldstart warmstart linkup 、および linkdown など)は含まれません。

 

表 22-1 デフォルトで有効なSNMPトラップ通知

有効なトラップ通知
関連コマンド

この表に記載されているすべてのトラップ

snmp-server enable traps

エンティティ トラップ

snmp-server enable traps entity
snmp-server enable traps entity fru

FCCトラップ

snmp-server enable traps fcc

FCドメイン トラップ

snmp-server enable traps fcdomain

FCネーム サーバ トラップ

snmp-server enable traps fcns

FCSトラップ

snmp-server enable traps fcs

FDMIトラップ

snmp-server enable traps fdmi

FSPFトラップ

snmp-server enable traps fspf

ライセンス マネージャ トラップ

snmp-server enable traps license

ポート セキュリティ トラップ

snmp-server enable traps port-security

RSCNトラップ

snmp-server enable traps rscn
snmp-server enable traps rscn els
snmp-server enable traps rscn ils

SNMPエージェント トラップ

snmp-server enable traps snmp
snmp-server enable traps snmp authentication

VRRPトラップ

snmp-server enable traps vrrp

ゾーン トラップ

snmp-server enable traps zone
snmp-server enable traps zone default-zone-behavior-change
snmp-server enable traps zone merge-failure
snmp-server enable traps zone merge-success
snmp-server enable traps zone request-reject

トラップ通知を有効にする手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# snmp-server enable traps fcdomain

指定されたSNMPトラップ(fcdomain)通知を有効にします。

switch(config)# no snmp-server enable traps

指定されたSNMPトラップ通知を無効にします。トラップ名を指定しない場合は、すべてのトラップが無効になります。

SNMPセキュリティ情報の表示

設定済みのSNMP情報を表示するには、 show snmp コマンドを使用します(例22-1 22-3 を参照)。

例22-1 SNMPユーザの詳細情報の表示

switch# show snmp user
User Auth Priv Groups
---- ---- ---- ------
test no no network-operator
network-admin
admin md5 des network-admin
test1 no no roleA
roleB
 

例22-2 SNMPコミュニティ情報の表示

switch# show snmp community
Community Access
--------- ------
private rw
public ro
v93RACqPNH ro
 

例22-3 SNMPホスト情報の表示

switch# show snmp host
Host Port Version Level Type SecName
____ ____ _______ ______ ____ ______
171.16.126.34 2162 v2c noauth trap public
171.16.75.106 2162 v2c noauth trap public
...
171.31.58.97 2162 v2c auth trap public
...
 

SNMPの連絡先、ロケーション、およびパケット設定に関するカウンタ情報を表示するには、 show snmp コマンドを使用します。このコマンドで提供される情報は、Cisco MDS 9000ファミリーFabric Managerが使用するものと同じです(『 Cisco MDS 9000 Family Fabric Manager Configuration Guide 』を参照)。例22-4を参照してください。

例22-4 SNMPの表示

switch# show snmp
sys contact:
sys location:
1631 SNMP packets input
0 Bad SNMP versions
0 Unknown community name
0 Illegal operation for community name supplied
0 Encoding errors
64294 Number of requested variables
1 Number of altered variables
1628 Get-request PDUs
0 Get-next PDUs
1 Set-request PDUs
152725 SNMP packets output
0 Too big errors
1 No such name errors
0 Bad values errors
0 General errors
Community Access
--------- ------
public rw
ser Auth Priv Groups
---- ---- ---- ------
test no no network-operator
network-admin
admin md5 des network-admin
test1 no no roleA
roleB
 

例22-5 SNMPエンジンIDの表示

switch# show snmp engineID
Local SNMP engineID: 800000090300053000851E
 

例22-6 SNMPセキュリティ グループ情報の表示

switch# show snmp group
groupname: network-admin
security model: any
security level: noAuthNoPriv
readview: network-admin-rd
writeview: network-admin-wr
notifyview: network-admin-rd
storage-type: permanent
row status: active
 
groupname: network-admin
security model: any
security level: authNoPriv
readview: network-admin-rd
writeview: network-admin-wr
notifyview: network-admin-rd
storage-type: permanent
row status: active
 
groupname: network-operator
security model: any
security level: noAuthNoPriv
readview: network-operator-rd
writeview: network-operator-wr
notifyview: network-operator-rd
storage-type: permanent
row status: active
 
groupname: network-operator
security model: any
security level: authNoPriv
readview: network-operator-rd
writeview: network-operator-wr
notifyview: network-operator-rd
storage-type: permanent
row status: active

デフォルト設定値

表 22-2 に、スイッチのすべてのSNMP機能のデフォルト設定を示します。

 

表 22-2 SNMPのデフォルト設定値

パラメータ
デフォルト

ユーザ アカウント

無期限(設定時を除く)

パスワード

なし